Projekt eduroam

Tomasz Wolniewicz UCI UMK

Seminarium eduroam – UMK, 16-17.03.2006

Tomasz WolniewiczUCI UMK

Projekt eduroam

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK2/20

• Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji

• Zasada pełnej wzajemności• Pełna poufność danych• Bezpieczeństwo użytkowników

– pewna sieć– szyfrowana transmisja

• Bezpieczeństwo instytucji udostępniających sieć– uwierzytelnieni użytkownicy– odpowiedzialność użytkownika za jego działania

Założenia

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK3/20

Uczestnicy - świat

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK4/20

Uczestnicy - Polska

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK5/20

Uczestnicy - Hiszpania

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK6/20

Uczestnicy - Holandia

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK7/20

Uczestnicy - Luksemburg

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK8/20

Uczestnicy - Słowenia

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK9/20

Uczestnicy - Australia

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK10/20

Klasyczne zabezpieczenia sieci bezprzewodowych

• Blokady MAC– praktycznie żadna ochrona – MAC jest wysyłany

otwartym tekstem

• Statyczny klucz WEP– klucz jest tajny, a musi być znany wszystkim

klientom• sprzeczność między powszechnością i tajemnicą

– klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK11/20

Uwierzytelnianie przez WWW

• Każdy może uruchomić AP i przypisać mu dowolny SSID• W klasycznym podejściu nie ma żadnej metody na

zweryfikowanie, że AP działa w „legalnej” sieci• Problemy z potwierdzeniem wiarygodności portalu

– jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować

– nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą „zamkniętą kłódkę”

– sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne

• Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK12/20

Uwierzytelnianie 802.1x

• Protokół IEEE – Port Based Network Access Control– protokół zdefiniowany z myślą o implementacji w

przełącznikach– obecnie główne zastosowanie, to dostęp do sieci

bezprzewodowych

• Dobre wsparcie w najnowszych systemach operacyjnych– MS Windows XP/2003– MAC OS 10– Linux

• Dobra dostępność kart sieciowych• Coraz większa powszechność w sieciach

bezprzewodowych – na uniwersytetach amerykańskich istnieją takie sieci

wyposażone w ogromne liczby urządzeń – ponad 1000

• Plany wdrożenia WPA przez operatorów publicznych – T-Mobile w USA– eBahn UK, USA

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK13/20

802.1x - podstawy

• Elementy– supplicant (oprogramowanie uwierzytelniające

działające w imieniu użytkownika)– authenticator (urządzenie realizujące dostęp do sieci

na podstawie uwierzytelnienia)– authentication server (serwer uwierzytelniający)

• Funkcje– uwierzytelnienie użytkownika– udostępnienie sieci– przydział VLAN-u– przekazanie kluczy ochrony transmisji

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK14/20

802.1x w działaniu

• Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP),

• W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika

• Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci

• Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK15/20

EAP (Extensible Authentication Protocol)

• EAP określa ramy dla implementowania metod uwierzytelnienia– rodzaje zapytań i odpowiedzi– odwołania do specyficznych metod uwierzytelniania

• dane EAP są wymieniane między klientem urządzeniem sieciowym i przekazywane przez urządzenie sieciowe do serwera uwierzytelniającego (typowo w ramach protokołu Radius)

• dane EAP nie są analizowane przez urządzenie dostępowe

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK16/20

Korzyści płynące ze stosowania standardu 802.1x

• Sieć „zna” użytkownika• Użytkownik „zna” sieć• Klucz szyfrujący jest wymieniany co kilka

minut lub z każdym pakietem• Użytkownik może być przypisany do różnych

grup (np. użytkownik lokalny, gość)• Możliwość odcięcia użytkownika, który działa

niezgodnie z regulaminem• Koordynacja na poziomie krajowym i

międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK17/20

serwer uwierzytelniający

UMK

xxx@xx.uni.torun.pl

lub

xxx@xx.umk.pl

Studenci

GościePracownicyUMK

Suplikant

Pracownicyjednostki

Internet

pomysł zaczerpnięty z surfnet.nl

Działanie systemu uwierzytelniającego (użytkownik lokalny)

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK18/20

xxx@uni.ac.uk

Studenci

GościePracownicyUMK

Suplikant

Pracownicyjednostki

Internet

serwer pośredniczący

serwer uwierzytelniający

uni.ac.uk

serwer uwierzytelniający

UMK

pomysł zaczerpnięty z surfnet.nl

Działanie systemu uwierzytelniającego (gość)

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK19/20

Organizacja serwerów Radius w eduroam

• Każda instytucja posiada „dostępowy” serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych

• Serwery krajowe– dysponują pełną listą instytucji w domenie .[kraj]

włączonych do eduroam i kierują do nich otrzymane pakiety Radius

– pakiety adresowane do domen nie kończących się na .[kraj] są kierowane do serwerów europejskich

• Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych

• Jednym z problemów jest obsługa domen globalnych np. .com

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK20/20

Bezpieczeństwo danych użytkownika w eduroam

• Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika

• Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej